Web安全—注入漏洞原理(数据与代码分离原则)

本文阅读 1 分钟

数据与代码分离原则:

提要:在Web应用安全中,注入类型的漏洞(XSS,SQL注入,CSRF等)通常产生的原因都是违背了数据与代码分离的原则

XSS漏洞举例:

数据与代码未分离:变量$var表代表用户输入的数据,如果未对用户输入的数据进行任何处置,输入的$var参数是JS代码,则会产生XSS攻击。 img 数据与代码分离:在数据与代码分离原则下,应该对输入的$var变量数据进行过滤,编码和限制,把可能造成代码混淆的用户数据清理掉,在这个案例中便可以针对<,>等符号处理 相关文章数据与代码分离原则

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/weixin_44431280/article/details/122802881
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复